Au démarrage de l’activité d’une entreprise, la cybersécurité est un défi parmi d’autres. Construire une architecture et un réseau IT est essentiel, et la sécurisation est cruciale. Pourtant, il y a parfois un grand écart entre les principes et la réalité pour assurer la mise en place de bonnes pratiques cyber dès le déploiement d’une infrastructure – qui plus est from scratch.
Retour d’expérience par Ivan Kwiatkowski, Lead Cyber Threat Researcher, qui a aussi eu l’occasion d’assurer des missions en tant que consultant, intégrateur puis administrateur système, et qui partage des conseils actionnables pour penser un SI “secure by design”. Il revient sur le cas concret d’une petite entreprise qu’il a accompagnée dans le secteur de la santé.
As-tu l’impression que les bonnes pratiques cyber sont les grandes oubliées de la conception d’une infra pour les PME ?
Ivan Kwiatkowski : Aujourd’hui, je n’aurais plus tendance à formuler le problème comme ça. Pour commencer, un projet de création de PME qui va de A à Z peut englober énormément de choses : la construction d’un local (avec chantier, architectes, ouvriers, etc.), un volet financier qui implique des banques, un nombre considérable de démarches administratives, des recrutements… et généralement la mise en place d’un réseau informatique. La question de la cybersécurité est-elle souvent absente de la réflexion à ce niveau ? Sans aucun doute. Mais l’IT ne représente qu’un des étages de la fusée et je suis convaincu que des oublis similaires ont lieu à chacun d’entre eux.
Les préconisations usuelles que les experts en cybersécurité dispensent au quotidien (appliquer les mises à jour le plus rapidement possible, avoir une bonne politique de mots de passe, limiter les droits des utilisateurs, etc.) paraissent simple sur le papier. Accompagner la création d’une TPE m’a cependant permis de me confronter à un certain nombre de blocages structurels qui compliquent énormément le passage à la pratique. Aujourd’hui, les facteurs d’insécurité cyber m’apparaissent plus clairement que jamais.
Quel est selon toi le premier frein à la mise en place de ces bonnes pratiques cyber ?
I.K. : Étonnamment, il ne s’agit pas du budget. Prenons pour exemple le projet auquel j’ai participé : environ 2 millions d’euros avaient été empruntés pour l’ensemble de la création du cabinet, la majorité étant consacrée à la création des locaux et l’acquisition d’équipement médical – certaines machines coûtant parfois plus de 100 000€. Comparativement, l’informatique représente un poste de dépenses relativement mineur, et s’il avait fallu quelques dizaines de milliers d’euros de plus pour assurer la protection du réseau, je ne doute pas que nous les aurions trouvés.
Le véritable obstacle se trouve ailleurs. Premièrement, les initiateurs de ce projet n’étaient pas spécialistes en informatique – comme c’est le cas dans la majorité des projets entrepreneuriaux. Ils sont donc contraints de s’appuyer sur des consultants extérieurs pour les aider à définir leur besoin et procéder à l’installation. Il s’avère que, travaillant dans le domaine de la cybersécurité depuis près de quinze ans, j’avais une sensibilité particulière pour le sujet. Mais ce ne sera pas nécessairement le cas d’un prestataire extérieur. Celui-ci, d’ailleurs, se sera engagé pour un nombre de jours/homme précis qui ne permettra généralement pas de prendre en compte les problématiques de cybersécurité au-delà du strict minimum. C’est là que la contrainte budgétaire revient par surprise : non pas au niveau du budget initial du client, mais à celui de la compétitivité : un consultant qui prévoit une architecture réseau en béton sera nécessairement plus cher que ses concurrents, pour un gain invisible que le décideur n’a pas la compétence d’apprécier.
Cela étant dit, ce projet dans lequel je me suis impliqué réunissait toutes les conditions pour réussir : j’ai pu choisir le matériel à acheter, m’occuper du déploiement… Et malgré les meilleures intentions du monde, je n’estime pas avoir réussi à atteindre le niveau de sécurité que j’escomptais. C’est une leçon douloureuse, car malgré mes ambitions, mon expertise, et un budget approprié, la sécurisation du réseau a été difficile. Cela laisse imaginer que dans bien des cas où une entreprise ne bénéficie pas d'un tel accompagnement, la réalité du déploiement d'une infrastructure IT doit être encore plus éloignée des préceptes de sécurité. Il est donc crucial de faire monter en compétence les prestataires extérieurs sollicités pour le déploiement d'une infrastructure IT, surtout dans les cas où aucune ressource de l'entreprise mandataire n'est dédiée à la sécurité.
Première étape, comment as-tu installé les postes de travail en garantissant à la fois la sécurité et le fonctionnement des applications métier ?
I. K. : Dans le cas de cette entreprise que j’ai accompagnée, le planning a été totalement chamboulé : la date de lancement de l’activité a été avancée de deux mois. Malgré cette compression des délais, les fournisseurs ont besoin d’un certain temps pour déployer le matériel et les solutions logicielles, ce qui m’a laissé seulement quatre jours pour mettre en place un socle minimal : installation d’ESXi sur le serveur, mise en service de chaque machine, enrôlement dans un Active Directory, configuration des switches (environ 90 prises RJ45 murales sont réparties dans le cabinet).
Pour couronner le tout, seul un des deux switches a été livré à temps, et pour des raisons administratives obscures, l’entreprise ne pouvait pas être raccordée à internet. Un prestataire nous a fourni gracieusement un routeur 4G dont les 80 GB de données furent aussitôt consommés par une flotte d’appareils Windows qui, allumés pour la première fois, téléchargeaient tous en chœur leurs mises à jour.
En conditions normales, ma feuille de route cyber prévoyait une belle segmentation réseau à base de VLANs en fonction des différents métiers. La priorité était cependant de faire en sorte que le premier prestataire (d’une longue série) puisse déployer son application dès le vendredi. S’agissant du logiciel de centralisation des données médicales, tout retard dans le déploiement empêchait en cascade l’installation des solutions suivantes, et donc la reprogrammation d’interventions de tout un cheptel de prestataires aux calendriers bien remplis. Avec cette contrainte d’un côté, et les inévitables impondérables de l’autre (à régler toujours sans véritable accès à internet), il a bien fallu se contenter d’un réseau qui marchait plutôt qu’un réseau bien segmenté. Je me suis promis de rectifier la situation plus tard, sachant bien qu’il est rare de pouvoir revenir sur des mesures "temporaires"…
On voit bien que de nombreux imprévus jalonnent un projet de déploiement d’une infrastructure IT. Dans ce cadre, comment faire pour que la sécurité reste une priorité, surtout quand il s’agit de faire appel à des prestataires ?
I. K. : Commençons par souligner qu’à ce stade, on ne choisit pas ses partenaires. Les utilisateurs finaux désignent un logiciel avec lequel ils souhaitent travailler, et il faut ensuite s’entendre avec le fournisseur de la solution, quelles que soient ses pratiques.
Un scénario d’installation idéal serait le suivant : le prestataire envoie un package MSI et celui-ci est déployé sur les machines correspondantes via une politique de groupe (GPO) au niveau de l’Active Directory. Ce mode de déploiement n’a jamais été proposé. J’ai pu identifier deux cas de figure.
- Le prestataire envoie quelqu’un sur place. Celui-ci ne disposant pas d’un maillage de techniciens couvrant toute la France, il s’agit en réalité du représentant local, habituellement disposé aux questions commerciales. Son rôle se limite à double-cliquer sur le programme d’installation, effectuer la configuration initiale éventuelle du logiciel, et former les utilisateurs. Celui-ci n’a donc qu’une culture informatique limitée, et inexistante en ce qui concerne la cybersécurité.
- Un technicien prend le contrôle des machines à distance pour procéder à l’installation, à l’aide d’un logiciel type TeamViewer. On peut tomber sur tout type de profil, de très compétent à pas du tout.
Dans les deux situations, j’ai découvert avec stupéfaction que sauf cas exceptionnel, les prestataires partent du principe que les utilisateurs disposeront de droits d’administrateur sur les machines. En réalité, le concept même de multisession leur est totalement étranger, et j’ai eu droit à des regards angoissés et perplexes lorsque j’ai expliqué que le logiciel devait fonctionner quel que soit l’utilisateur connecté. J'ai donc exigé qu'ils trouvent une solution pérenne dans ce sens.
En définitive, le seul moyen pour que la sécurité reste une considération lorsque des prestataires extérieurs interviennent, c’est de les surveiller constamment et d’imposer les bonnes pratiques. Il faut être prêt à imposer son expertise, et éventuellement à rater quelques deadlines. Lorsque j’ai laissé un prestataire intervenir sans pouvoir être présent, j’ai toujours fini par devoir l’assister par téléphone, ou réparer quelque chose à l’issue. C’est une perte de temps colossale, et dans le cas général, il y a rarement un informaticien dédié qui puisse superviser les déploiements.
Last but not least, comment faire en sorte que les utilisateurs finaux se sentent eux aussi concernés par les questions de cybersécurité ? Comment trouver le bon compromis entre expérience utilisateur et sécurité ?
I. K. : Le véritable problème se trouve malheureusement ailleurs : la technologie ne solutionne pas tout, surtout quand les utilisateurs sont réfractaires aux principes les plus basiques de l’hygiène numérique. Je pense spécifiquement à l’enjeu du multisession : un compte par utilisateur, des permissions adaptées à chacun, cela semble couler de source.
Il s’est avéré que, dans le cas que je décris, les médecins et l’ensemble du personnel médical ont exprimé une vive opposition à l’idée de disposer d’un compte chacun, car cela impliquait fermer et rouvrir sa session à chaque passage dans un nouveau box de consultation – ce qui arrive environ une fois toutes les quinze minutes, a minima. Taper son mot de passe quelques dizaines de fois par jour est perçu comme une perte de temps inacceptable (et au diable le RGPD !). Il arrive également qu’un utilisateur oublie de fermer un dossier patient, ce qui a pour conséquence de le verrouiller : il est alors impossible de remédier à la situation sans trouver le coupable et le ramener sur la machine correspondante.
Cette défiance vis-à-vis de l’outil informatique est très répandue dans le corps médical ; toutes les personnes interrogées l’attribuent à leur expérience en milieu hospitalier. Pour des raisons pratiques, le partage de compte y est omniprésent : les équipes informatiques sont débordées, il y a beaucoup de turn-over… au final, il est courant que l’ensemble des internes utilise le compte d’un professeur parti à la retraite depuis des années. La confraternité qui règne entre praticiens ne les prédispose pas à envisager que les données des uns pourraient être inaccessibles aux autres – au contraire, la transmission d’informations doit être la plus fluide possible pour que la prise en charge des patients se déroule sereinement.
Au final, les médecins s’installant dans un cabinet neuf ont du mal à percevoir pourquoi des pratiques tolérées en CHU ne le seraient pas dans leur plus petite structure. Il faut donc faire preuve de pédagogie, en expliquant les implications en cas d’incident de sécurité (même s’ils restent convaincus que ça n’arrive qu’aux autres), ou en trouvant des exemples concrets : les employés doivent-ils avoir accès aux emails et documents comptables de leur employeur ? Au final, nous avons trouvé un compromis : chacun aurait sa session, mais sans restriction de complexité pour les mots de passe – la seule contrainte était que ces mots de passe comportent au minimum 4 caractères.
On peut reboucler sur la technologie ici, et espérer qu’elle donne l’alerte à temps en cas d’attaque informatique – l’équivalent médical de traiter les symptômes. Mais il faut avoir conscience du fait qu’une fois le cabinet mis en marche, celui-ci ne dispose plus de ressource informatique dédiées. Qui lira les alertes ? Qui procédera à la désinfection ? S'octroyer les services d'un MSSP peut-être une solution pour les structures qui n'ont pas l'expertise ou les ressources pour gérer une solution de cybersécurité. Et je déplore le fait que trop souvent, surtout dans les structures de petite taille, la prise de conscience des risques et des enjeux arrive après que le pire soit survenu.
En conclusion, quels enseignements tires-tu de ce projet ?
I. K. : J’ai appris beaucoup, en particulier en ce qui concerne les causes structurelles de l’insécurité. Dans une création d’entreprise, il y a énormément de choses à coordonner et le volet informatique ne représente qu’une des pièces du puzzle. En définitive, malgré une volonté affichée de mettre la cybersécurité au cœur du projet, le résultat final est en-deça de mes attentes… et à travers cette expérience se dessine en filigrane un tableau préoccupant : dans les TPE, les PME et même les ETI, à chaque étape du déploiement d'un SI, la cybersécurité est susceptible de devenir la cinquième roue du carrosse. J'identifie les causes suivantes :
- Des contraintes temporelles, sans doute communes à n’importe quel projet, qui ne permettent pas d’établir des bases complètement saines.
- L’évolution dans un écosystème logiciel où les prestataires extérieurs, que ce soit pour des raisons financières ou par inexpérience, découragent activement ou empêchent la mise en place de bonnes pratiques.
- Une méconnaissance des risques et enjeux de la part des utilisateurs finaux (qui ont par ailleurs le dernier mot sur tout).
Je retiens également que la problématique des mots de passe est plus fondamentale que jamais, et que les gestionnaires que nous recommandons habituellement ne sont pas adaptés à ce type d’utilisateurs. Il faudra que je me penche sur les systèmes d’authentification par dongles physiques (Smart Cards) à l’avenir, sans garantie qu’ils soient davantage acceptés.
En définitive, faute de pouvoir changer les pratiques de tout un secteur (décideurs, employés et prestataires), il faut pouvoir compter sur les technologies de défense. Néanmoins, j'insiste sur le fait que la sécurité doit rester une priorité dans la conception d'un SI, parce qu'on ne peut pas couvrir de pansements toute une jambe de bois !
En pratique, vous vous demandez comment faire face aux menaces
et anticiper au mieux les attaques ?
Voici 5 réflexes essentiels :